Il terribile attacco hacker da parte del gruppo cinese Hafnium inizia a venire a galla, anche in Italia. TIM Business ha avvisato i suoi clienti che i loro server di posta, che usavano Microsoft Exchange come mail server, sono stati probabilmente compromessi. TIM, è bene ricordarlo, non ha nessuna colpa in tutto questo: gli hacker hanno sfruttato quattro vulnerabilità zero-day di Microsoft e hanno attaccato a tappeto tutti i server esposti in rete.
Nel messaggio inviato ai clienti TIM Business spiega che non appena Microsoft ha rilasciato le patch correttive il 3 marzo sono state subito installate su tutti i server, e sono anche state fatte tutte le verifiche del caso, come suggerito da Microsoft, per verificare che sui server non fossero state installate “shell” per accesso remoto in una fase successiva. Tuttavia le indagini sono ancora in corso, e sono già stati riscontrati possibili accessi non autorizzati ad alcuni server di posta. In attesa che vengano completate le verifiche per capire se c’è stata una effettiva compromissione del sistema, con eventuale furto di dati, TIM suggerisce di cambiare le password.
TIM va elogiata per il modo in cui ha gestito la cosa, in piena trasparenza verso i suoi clienti. Nei prossimi giorni è lecito aspettarsi che anche altre aziende possano fare comunicazioni simili: l’attacco non ha risparmiato praticamente nessuno e nessuno era immune. Le correzioni hanno richiesto un mese per essere distribuite e di certo i cinesi non hanno aspettato, anzi, hanno intensificato l’azione. Nelle ultime ore stanno emergendo ulteriori dettagli, tutti decisamente preoccupanti: molti altri gruppi hacker stanno sfruttando le web-shell caricate da chi ha effettuato il primo attacco. Kryptos Logic segnala di aver trovato traccia di quasi 7000 web-shell pubblicamente esposte su web, web-shell che altri gruppi stanno usando per caricare randomware.
Il primo di questi, identificato da Sophos, è stato soprannominato DearCry ed assomiglia molto a Wannacry come struttura, noto ransomware usato negli scorsi anni. Nulla di eccessivamente sofisticato, non fa nulla per nascondersi, tuttavia secondo Sophos è stato modificato per rendere i file praticamente irrecuperabili. Prima di cancellare il documento originale e dopo aver chiuso la copia criptata, sovrascrive il documento originale.
Articolo: Dday.it